Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 17.1.2, 17.0.4 и 16.11.6, в которых устранены 6 уязвимостей. Одной из проблем (CVE-2024-6385) присвоен критический уровень опасности. Как и уязвимость, устранённая в прошлом месяце, новая проблема позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61525
шо, опять?!
> шо, опять?!Наслаждайся, continious integration бэкдоров в CI - для всех желающих. Coming soon^W yesterday.
Это ещё кубик как следует не исследовали
Точнее те кто исследовали, как раз и шифруют все подряд за кучу денежек взамен
Нужно придумать какой-нибудь веб фреймфорк из мира раста, чтобы было максимально безопасно.
Дело не в инструменте, а что именно хотели получить. Хотели получить модную, продаваемую штуку усилиями на минималках.Оно будет таким же на любом языке. Не одну тысячу лет как уже всё понято и известно про причину.
Чего то слишком много уязвимостей находят, походу какой то план выполняется, помните всем говорили что нужно пересаживаться с гитхаба чтобы избежать монополии микрософта на поприще хостинга кода? Теперь то понятно какие агентства на самом деле кричали и форсировали переход на это подделие. Пользуйтесь селфхостом, ребятки, и берегите себя от руки массонов и илюминатов.
Вот именно. Любому здравомыслящему человеку понятно, что это происки рептилоидов из планеты Нибиру.
gitea
gogs
Forgejo
Forgejo это форк Gitea, и пишут то и другое плюс-минус такие же писатели что и Gitlab, и уязвимостей там хватает
Ну в принципе массонам и иллюминатам наверное проще даже следить за вами, если вы все в основном в гитхабе. Неужели майкрософт против них?
Не, мы тут не при чём. Просто у разрабов руки из *опы
Бывает когда на рынке вместо погромистов доступны только соевые яблофилы с крашенными волосами.
И как цвет волос влияет на профессиональные навыки?
Или как ориентация влияет на них?
Правильный ответ: никак
Ты будешь в шоке, когда узнаешь, что легендарные диды создавшие FreeBSD, Sendmail и syslog(как программу и как протокол) Маршалл Маккузик и Эрик Оллман много десятилетий вместе и в официальном браке с 2013 года
> Бывает когда на рынке вместо погромистов доступны только соевые яблофилы с крашенными волосами.Пока соевые яблофилы (и возможно трапы) пишут драйвера для макбуков, ты нагадил тут свой ценный комент)
Не думаю что это равноценные достижения.
И точно не в твою пользу))
Gitlab - новый sendmail.
причем на безопасном руби
И на безопасном линукс, молодцы!
А, чтобы не было никаких уязвимостей в ч.н.в Гите - надо отменить пароли! Вот я, например, сижу даже в линуксе - не только без антивируса а и даже рутового пароля - неверится? Только что, очень детально, расписал тут:
- https://www.opennet.me/opennews/art.shtml?num=61517#25
Отсутствие пароля на рута из коробки есть на сегодня у многих попсовых и не-попсовых дистров.
А что вы хотели от мегакомбайна, дистрибутив которого весит как целая ОС.
Он ещё и ресурсов ест вагон и маленькую тележку
Ага. Шефу для инсталляции сервера уже 9 лет тому назад надо было четыре гига-байта у виртуалки. С тех пор легче не стало. Но зато всем как на сладкое - на графический интерфейс: рыболовный крючок с блесной надёжно заглочен.
Это полностью закономерно. Но кое-какие вредители и саботажники из кое-какого проекта, который нельзя называть, приняли решение перейти с trac на GitLab. Их заранее предупреждали, чем это чревато. Им было и есть фиолетово.
А у трака есть конвейер?
Ну trac настолько убог что любой продукт, хоть даже и с remote root который не будут исправлять - уже достойнейшая ему замена.
> хоть даже и с remote root который не будут исправлять - уже достойнейшая ему замена.Ну тогда и айпишники скажи, раз пошла такая пьянка. Будет тебе runner'ов на CI вджобы, заодно проверим какой счет за электричество вас не напрягает. Так и быть мaйнер будет с низким приоритетом и для нормальных джобов ресурсы останутся. Социально-ответственный, этический мaйнинг!
Между делом, разработчики trac лет шесть рожали новую ветку. Только в этом году релизнули, кажется. С тех пор поезд ушел, трекер без управления репозиториями и сиая уже мало кому нужен.
> трекер без управления репозиториями и сиая уже мало кому нужен.Jira: - ну да, ну да, пошёл я...
> Jira: - ну да, ну да, пошёл я...Жира не может пойти. Она может только ползти.
Трекер не должен управлять репами. У трекера, весего только, нужна интеграция с репами. А не управлятор.
причем у trac эта фича есть с рождения (ну да, ну да - и это репо - svn. гит прикручен позднее и в концепцию вписался хуже. Впрочем, а зачем нам гит если мы не используем гитхлам?)
>> Любому здравомыслящему человеку понятно, что это происки рептилоидов из планеты Нибиру.
> Массоны Рептилоиды: Не, мы тут не при чём. Просто у разрабов руки из *опыДа, мне тоже кажется не надо путать их с вами, рептилоидами-масонами, "из планеты" Земля.
Те то даже не известно живы ещё - вон сколько тысячетелей уже прошло то...
Да и видом же - сразу видно их, что рептилоиды - а, вас только по косвенным признакам
(политическим, идеалогическим и всякого рода психически и морально деструктивным).
AI скоро решит проблему уязвимостей. Другой язык - нет.
Это как же?Впрочем я знаю как - люди станут ещё тупее и будут считать компы чудесным артефактом данным богами, ковырять нельзя можно приносить жертвы :)
Удачи! :)
Не то что нельзя, а строго запрещено DMCA, PIPA, SOPA, Patriot Act и ещё пучком каких-нибудь acts
Скорее, что как и прежде: будет меньше ввозможностей думать по своему и при этом мочь применять изобретаемое. Это станет дороже и реже встречаться. Больше станет марша молотков из Pink Floyd The Wall.
> AI скоро решит проблему уязвимостей. Другой язык - нет.Для этого AI надо было обучать на коде без уязвимостей, а где его такой на этой планете взять?!
Окончательно.
> AI скоро решит проблему уязвимостей. Другой язык - нет.Нет. Т.к. нужному для того ИИ не дадут нужную базу знаний. Либо это будет уже после смерти внуков.
Проблема не в языке, не в процессоре. Проблема в постановке цели и использованных техниках достижения. Применив тот же подход с помощью ИИ получат примерно тоже самое: местами не сделанное, местами не продуманное, работающее в соответсвии, но зато красиво выглядит и нубам кажется чем-то супер годным.
Хотя, пробуя пользоваться 6 лет, прошёл путь от "ой, интересно", до "без мата думать про него не бывает". Оказывается, что если система в Омнибусе, конфигурится Шефом, то это плохой признак для инженера.
>не дадут нужную базу знанийДа ладно, даже opennet заспамлен сообщениями об уязвимостях. Все БД CVE открыты, исходный код тоже есть, бери обучай. Уже есть научные работы с первыми результатами, выглядит многообещающе.
Почему интеграции а не развертывания? Почему конвейер а не техпроцесс? Что и когда в российских учебниках пошло не так...
Это уже даже не важно для GL. Gitlab писали в угоду коньюктуре, в стиле "что вижу, то пою", не доделывая части и переходя к новым.Получилось изделие - тормозное, сбойное, без гибкости, ожидаемо уязвимое. Его так писали.
А остальное... Ну, посмотрите на GL... Чё... У людей мотивы древние и с тех пор не менялись.